خطأ داخل iOS 15 أدى إلى تسريب نشاط تصفح المستخدم في نفس اللحظة
انتهكت أجهزة Apple التي تعمل بنظام التشغيل iOS و iPadOS ومتصفح Safari إحدى أكثر سياسات أمان الإنترنت قداسة خلال الأربعة أشهر الماضية، الأمر الذي أدى في النهاية إلى تسريب هويات المستخدم ونشاط التصفح في الوقت الفعلي.سياسة نفس الأصل هي آلية أمان هدفها منع المستندات أو البرامج النصية أو أي محتوى آخر تم تحميله من أصل واحد – بمعنى البروتوكول واسم المجال ومنفذ صفحة ويب أو تطبيق معين – من التفاعل مع موارد من أصول أخرى. وبدون هذه السياسة، يمكن للمواقع الضارة – على سبيل المثال badguy.example.com – الوصول إلى بيانات اعتماد تسجيل الدخول لـ Google أو أي موقع آخر موثوق به عندما يتم فتحه في نافذة أو علامة تبويب متصفح مختلفة.
هذا وتوصل بحث نُشر في أواخر الأسبوع الماضي إلى أنه منذ إطلاق Safari 15 و iOS و iPadOS 15 في سبتمبر، تم كسر هذه السياسة تمامًا. وكتب مارتن باجانيك الباحث في شركة الأمن FingerprintJS: “حقيقة أن أسماء قواعد البيانات تتسرب عبر أصول مختلفة هي انتهاك واضح للخصوصية”. هو أكمل:يتيح لمواقع الويب معرفة مواقع الويب التي يزورها المستخدم داخل علامات تبويب أو نوافذ مختلفة. هذا ممكن لأن أسماء قواعد البيانات عادةً ما تكون محددة بموقع الويب. علاوة على ذلك لاحظنا أنه في بعض الحالات، تستخدم مواقع الويب معرفات خاصة بالمستخدم داخل أسماء قواعد البيانات. هذا يعني أنه يمكن تعريف المستخدمين المصادق عليهم بشكل فريد ودقيق.تعمل الهجمات على أجهزة Mac بنظام التشغيل Safari 15 وعلى أي متصفح يعمل على iOS أو iPadOS 15. ويبدو أن موقع safarileaks.com قادر على اكتشاف وجود أكثر من 20 موقعًا إلكترونيًا – تقويم Google و YouTube و Twitter و Bloomberg – فتح في علامات تبويب أو نوافذ أخرى، حينها من المحتمل أن يجد مهاجم حقيقي مئات أو آلاف المواقع أو صفحات الويب التي يمكن اكتشافها.على سبيل المثال عند تسجيل الدخول إلى حساب Google مفتوح في مكان آخر، يمكن للموقع التجريبي الحصول على المعرف الداخلي الذي تستخدمه Google لتحديد كل حساب. يمكن استخدام هذه المعرفات عادة للتعرف على صاحب الحساب.
كتب باجانيك: “في كل مرة يتفاعل فيها موقع ويب مع قاعدة بيانات، يتم إنشاء قاعدة بيانات جديدة فارغة تحمل الاسم نفسه في جميع الإطارات وعلامات التبويب والنوافذ النشطة الأخرى في نفس المتصفح. عادةً ما يشترك Windows وعلامات التبويب في الجلسة نفسها، إلا إذا قمت بالتبديل إلى ملف تعريف مختلف، في Chrome على سبيل المثال، أو تفتح نافذة خاصة.”قال باجانيك إنه أخطر شركة Apple بالثغرة الأمنية في أواخر نوفمبر، وحتى وقت النشر، لم يتم إصلاحها في Safari أو في أنظمة تشغيل الهاتف المحمول الخاصة بالشركة. لم يرد ممثلو Apple على رسالة بريد إلكتروني يسألون فيها عما إذا كانت ستصدر تصحيحًا أو متى ستصدره..في الوقت الحالي يجب على الأشخاص توخي الحذر عند استخدام Safari لسطح المكتب أو أي متصفح يعمل على iOS أو iPadOS. هذا ليس مفيدًا بشكل خاص لمستخدمي iPhone أو iPad.